Informationssikkerhedspolitik

Indledning

Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos Aarhus Universitet. Som et led i den overordnede sikkerhedsstyring tager ledelsen på grundlag af den løbende overvågning og rapportering informationssikkerhedspolitikken op til revurdering minimum hvert andet år.

Politikken omfatter Aarhus Universitets informationer, som er enhver information, der tilhører Aarhus Universitet  herudover også informationer, som ikke tilhører Aarhus Universitet, men som Aarhus Universitet kan gøres ansvarlig for. Dette inkluderer fx alle data om personale, data om finansielle forhold, alle data, som bidrager til administrationen af Aarhus Universitet, samt informationer som er overladt Aarhus Universitet af andre, herunder forsøgs- og forskningsdata. Disse data kan være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller enhver anden information, som kun er til intern brug.

Denne politik omfatter alle Aarhus Universitets informationer, ligegyldigt hvilken form de opbevares og formidles på.

Formål

Informationer og informationssystemer er nødvendige og livsvigtige for Aarhus Universitet, og informationssikkerheden har derfor vital betydning for Aarhus Universitets troværdighed og funktionsdygtighed.

Formålet med informationssikkerhedspolitikken er at definere en ramme for beskyttelse af Aarhus Universitets informationer og særligt at sikre, at kritiske og følsomme informationer og informationssystemer bevarer deres fortrolighed, integritet og tilgængelighed.

Derfor har Aarhus Universitets ledelse besluttet sig for et beskyttelsesniveau, der er afstemt efter risiko og væsentlighed samt overholder lovkrav og indgåede aftaler, herunder licensbetingelser. Ledelsen vil oplyse medarbejdere og studerende om ansvarlighed i relation til Aarhus Universitets informationer og informationssystemer.

Hensigten med sikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til Aarhus Universitet, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres.

Omfang

Denne politik gælder for alle ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder for Aarhus Universitet. Alle disse personer bliver her betegnet som medarbejderne.

Politikken gælder endvidere for studerende, der i forbindelse med deres studie anvender informationsaktiver tilhørende Aarhus Universitet.

Ved udlicitering af dele af eller hele IT-driften skal det sikres i samarbejdet med serviceleverandøren, at Aarhus Universitets sikkerhedsniveau fastholdes, således at serviceleverandøren, dennes faciliteter og de medarbejdere, som har adgang til Aarhus Universitets informationer, mindst lever op til Aarhus Universitets informationssikkerhedsniveau.

Sikkerhedsniveau

Det er Aarhus Universitets politik at beskytte sine informationer og udelukkende tillade brug, adgang og offentliggørelse af informationer i overensstemmelse med Aarhus Universitets retningslinjer og under hensyntagen til den til enhver tid gældende lovgivning.

Aarhus Universitet fastlægger på baggrund af en risikovurdering et sikkerhedsniveau som svarer til betydningen af de pågældende informationer.

Der gennemføres mindst en gang årligt en risikovurdering, så ledelsen kan holde sig informeret om det aktuelle risikobillede. Der foretages ligeledes en risikovurdering ved større forandringer i organisationen.

Sikkerhedsniveauet fastlægges i det enkelte tilfælde under hensyntagen til arbejdets gennemførelse og økonomiske ressourcer. Målsætningen om et højt sikkerhedsniveau afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it, samt det forhold at Universitetet har en samfundsrolle som leverandør af frit tilgængelig information.

Sikkerhedsbevidsthed

Informationssikkerhed vedrører Aarhus Universitets samlede informationsflow, og gennemførelse af en informationssikkerhedspolitik kan ikke foretages af ledelsen alene. Alle medarbejdere og studerende har et ansvar for at bidrage til at beskytte Aarhus Universitets informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Alle medarbejdere og studerende skal derfor løbende have information om informationssikkerhed i relevant omfang.

Som brugere af Aarhus Universitets informationer skal alle medarbejdere og studerende følge informationssikkerhedspolitikken og de retningslinjer, der er afledt heraf. Medarbejderne og de studerende må kun anvende Aarhus Universitets informationer i overensstemmelse med det arbejde, de udfører for Aarhus Universitet, og skal beskytte informationerne på en måde, som er i overensstemmelse med informationernes følsomhed, særlige og/eller kritiske natur.

Brud på informationssikkerheden

Såfremt en medarbejder eller en studerende opdager trusler mod informationssikkerheden eller brud på denne, skal dette straks meddeles til den ansvarlige for den daglige ledelse af informationssikkerhedsindsatsen.

Overtrædelse af informationssikkerhedspolitikken, eller heraf afledte regler og retningslinier, indrapporteres til nærmeste leder, som i samarbejde med HR-afdelingen træffer afgørelse om eventuelle videre foranstaltninger. Det er således lederens ansvar, at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler, herunder bl.a. at de relevante tillidsrepræsentanter inddrages. Hvis overtrædelsen er udført af en studerende, behandles sagen som enhver anden disciplinærsag.

Hvis overtrædelsen har karakter af strafferetlig, erstatningsretlig eller anden lovmæssig overtrædelse, vil der blive foretaget politianmeldelse.

Informationssikkerhedsfolder - studerende

Informationssikkerhedshåndbogen

Informationssikkerhedshåndbog